De Ierse Data Protection Commission (DPC) heeft een boete van 530 miljoen euro opgelegd aan het bedrijf Chinese Bytedance, het moederbedrijf van TikTok. De DPC is belast met het houden van toezicht op de naleving van de Algemene Verordening Gegevensbescherming (“AVG”) in Ierland.
Volgens de DPC heeft het bedrijf in strijd met de AVG gehandeld door persoonsgegevens van de gebruikers van TikTok door te geven aan China. Het doorgeven van persoonsgegevens buiten de Europese Economische Ruimte (“EER”) is onder bepaalde voorwaarden toegestaan. De DPC heeft geoordeeld dat het bedrijf niet aan die voorwaarden. Daarnaast zou de verwerking van persoonsgegevens niet op een transparante wijze zijn gecommuniceerd aan de gebruikers van TikTok.
Doorgifte van persoonsgegevens buiten de EER
Het doorgeven van persoonsgegevens aan landen buiten de EER (oftewel derde landen) mag alleen in de volgende gevallen:
- als de Europese Commissie heeft besloten dat het betreffende derde land, of bepaalde sectoren in het betreffende derde land een passend beschermingsniveau waarborgt (een adequaatheidsbesluit) (art. 45 AVG);
- als er passende waarborgen worden geboden zoals bijvoorbeeld door het gebruikmaken van bindende bedrijfsvoorschriften of het gebruikmaken van een modelcontract waarbij er standaardbepalingen over gegevensbescherming zijn opgenomen (die zijn opgesteld met goedkeuring van de Europese Commissie) (art. 46 en 47 AVG);
- in geval er sprake is van een van de specifieke situaties zoals genoemd in artikel 49 AVG.
De verwerkingsverantwoordelijke dient transparant te zijn over het verwerken van gegevens
Op grond van de AVG mogen gegevens alleen worden verwerkt indien dit op een transparante wijze is gecommuniceerd aan de betrokkenen wiens gegevens worden verwerkt. De betrokkene moet in ieder geval weten dat er gegevens worden verwerkt voor wat voor doeleinden deze worden verwerkt. Wat er precies moet worden gecommuniceerd hangt af van de omstandigheden.
TikTok heeft aangegeven in beroep te gaan tegen het besluit van de DCP.
Het verwerken van persoonsgegevens kan een hoop verantwoordelijkheden met zich meebrengen, De Autoriteit Persoonsgegevens is de instantie in Nederland die belast is met het toezicht op de naleving van de AVG.
Meer informatie
Heeft u vragen over uw verplichtingen die voortvloeien uit de AVG? Neem dan contact op met een van onze advocaten privacyrecht:
